LỜi NÓI ĐẦU

Hiện nay công nghệ .NET của Microsoft được sử dụng rất rộng rãi trong việc xây dựng các ứng dụng sử dụng trong thực tế. Bên cạnh việc xây dựng ứng dụng thì vấn đề an toàn của một ứng dụng là rất quan trọng, đặc biệt là trong các ứng dụng thương mại điện tử như bán hàng qua mạng, thực hiện chuyển tiền vào tài khoản qua mạng, .NET Framework cung cấp cho ta rất nhiều thư viện dùng để tăng cường an ninh cho ứng dụng.

Khoá luận này trình bày khả năng tăng cường an ninh cho các ứng dụng xây dựng trên nền .NET Framework và đặc biệt tập trung vào các ứng dụng Web.

Khoá luận gồm 4 chương:

Chương 1. An toàn ứng dụng Web.

Trình bày tổng quan về an toàn ứng dụng web.

Chương 2. An toàn ứng dụng Web xây dựng trên nền .NET Framework.

Trình bày tổng quan về an toàn ứng dụng Web xây dựng trên nền .NET Framework, các kỹ thuật chính và các thư viện dùng để tăng cường an ninh.

Chương 3. Xây dựng ứng dụng Web ASP.NET an toàn

Nghiên cứu cụ thể về an toàn ứng dụng Web ASP.NET. Xây dựng các gói assemblies, các thành phần dịch vụ, các dịch vụ Web, các trang và các điều khiển an toàn. Các kiểu tấn công phổ biến và biện pháp phòng chống hữu hiệu.

Chương 4. Thiết kế demo.

Tăng cường an ninh cho web site của Cục bảo vệ tài nguyên môi trường

[FONT="]

MỤC LỤC

[URL="/#_Toc137098621"]MỤC LỤC 1

[URL="/#_Toc137098622"]HÌNH ẢNH 4

[URL="/#_Toc137098623"]Chương 1 – AN TOÀN ỨNG DỤNG WEB 7

[URL="/#_Toc137098624"]1. Các vấn đề cơ bản về an toàn ứng dụng Web. 7

[URL="/#_Toc137098625"]2. Thuật tấn công. 8

[URL="/#_Toc137098626"]3. Mô hình hiểm họa. 9

[URL="/#_Toc137098627"]Chương 2 – AN TOÀN ỨNG DỤNG WEB XÂY DỰNG TRÊN .NET FRAMEWORK 11

[URL="/#_Toc137098628"]1. Tổng quan về an toàn ứng dụng Web xây dựng trên .NET Framework. 11

[URL="/#_Toc137098629"]1.1. Role-Based Security. 11

[URL="/#_Toc137098630"]1.2. Code Access Security. 13

[URL="/#_Toc137098631"]1.3. Các không gian tên để xây dựng an toàn các ứng dụng trong .NET Framework. 14

[URL="/#_Toc137098632"]2. Xây dựng các gói assembly an toàn. 15

[URL="/#_Toc137098633"]2.1. Các mối đe doạ và biện pháp phòng chống: 15

[URL="/#_Toc137098634"]2.1.1. Truy nhập không được chứng thực hoặc vượt quyền, hoặc cả hai 16

[URL="/#_Toc137098635"]2.1.2. Nhúng mã. 17

[URL="/#_Toc137098636"]2.1.3. Phơi bày thông tin: 18

[URL="/#_Toc137098637"]2.1.4. Xáo trộn thông tin: 19

[URL="/#_Toc137098638"]2.2. Các lưu ý khi thiết kế gói assembly. 19

[URL="/#_Toc137098639"]2.3. Các lưu ý khi thiết kế lớp. 20

[URL="/#_Toc137098640"]3. Xây dựng thành phần dịch vụ an toàn. 20

[URL="/#_Toc137098641"]3.1. Các mối hiểm hoạ và các biện pháp phòng chống. 20

[URL="/#_Toc137098642"]3.1.1. Nghe lén mạng. 21

[URL="/#_Toc137098643"]3.1.2. Truy cập không được chứng thực. 21

[URL="/#_Toc137098644"]3.1.3. Sự uỷ quyền không được ràng buộc. 22

[URL="/#_Toc137098645"]3.1.4. Phơi bày dữ liệu cấu hình. 22

[URL="/#_Toc137098646"]3.1.5. Sự từ chối 22

[URL="/#_Toc137098647"]3.2. Các lưu ý khi thiết kế. 22

[URL="/#_Toc137098648"]3.2.1. Chứng thực dựa vào vai 22

[URL="/#_Toc137098649"]3.2.2. Bảo vệ dữ liệu nhạy cảm 23

[URL="/#_Toc137098650"]3.2.3. Các yêu cầu theo dõi 23

[URL="/#_Toc137098651"]3.2.4. Kiểu kích hoạt ứng dụng. 23

[URL="/#_Toc137098652"]3.2.5. Các giao tác. 23

[URL="/#_Toc137098653"]3.2.6. CAS. 23

[URL="/#_Toc137098654"]4. Xây dựng các dịch vụ Web an toàn. 24

[URL="/#_Toc137098655"]4.1. Các mối hiểm hoạ và các biện pháp phòng chống: 24

[URL="/#_Toc137098656"]4.1.1. Truy cập không được chứng thực: 24

[URL="/#_Toc137098657"]4.1.2. Thực thi tham số: 25

[URL="/#_Toc137098658"]4.1.3. Nghe lén mạng: 26

[URL="/#_Toc137098659"]4.1.4. Phơi bày dữ liệu cấu hình: 26

[URL="/#_Toc137098660"]4.2. Các lưu ý khi thiết kế. 27

[URL="/#_Toc137098661"]4.2.1. Yêu cầu xác thực: 27

[URL="/#_Toc137098662"]4.2.2. Yêu cầu tính riêng tư và tính toàn vẹn. 27

[URL="/#_Toc137098663"]4.2.3. Các đặc tính truy cập tài nguyên. 28

[URL="/#_Toc137098664"]4.2.4. CAS. 28

[URL="/#_Toc137098665"]4.3. Các kỹ thuật với các vấn đề quan trọng nhất. 28

[URL="/#_Toc137098666"]4.3.1. Kiểm tra giá trị đầu vào. 28

[URL="/#_Toc137098667"]4.3.2. Xác thực. 33

[URL="/#_Toc137098668"]4.3.3. Chứng thực. 34

[URL="/#_Toc137098669"]Chương 3 – XÂY DỰNG ỨNG DỤNG ASP.NET AN TOÀN 36

[URL="/#_Toc137098670"]1. Mô hình bảo mật trong ASP.NET 36

[URL="/#_Toc137098671"]1.1. Các công nghệ thực thi trong ASP.NET 36

[URL="/#_Toc137098672"]2.2. Kiến trúc bảo mật 36

[URL="/#_Toc137098673"]2. Xây dựng các trang và các điều khiển ASP.NET an toàn. 37

[URL="/#_Toc137098674"]2.1. Hiểm hoạ và biện pháp phòng chống. 37

[URL="/#_Toc137098675"]2.1.1. Nhúng mã. 38

[URL="/#_Toc137098676"]2.1.2. Tấn công session. 39

[URL="/#_Toc137098677"]2.1.3. Giả dạng đặc tính nhận dạng. 40

[URL="/#_Toc137098678"]2.1.4. Thực thi tham số. 41

[URL="/#_Toc137098679"]2.1.5. Nghe lén mạng. 42

[URL="/#_Toc137098680"]2.2. Các lưu ý khi thiết kế. 43

[URL="/#_Toc137098681"]2.2.1. Kiểm tra đầu vào phía server. 43

[URL="/#_Toc137098682"]2.2.2. Khoanh vùng web site. 43

[URL="/#_Toc137098683"]2.2.3. Xem xet đặc tính nhận dạng được dùng để truy nhập tài nguyên. 44

[URL="/#_Toc137098684"]2.2.4. Bảo vệ thông tin đăng nhập và các thẻ xác thực. 44

[URL="/#_Toc137098685"]2.2.5. Lỗi về bảo mật 45

[URL="/#_Toc137098686"]2.2.6. Xem xét về chứng thực tập trung. 45

[URL="/#_Toc137098687"]2.2.7. Đặt các điều khiển web và các điều khiển người dùng trong các gói assemblies riêng biệt 45

[URL="/#_Toc137098688"]2.2.8. Đặt mã truy nhập tài nguyên trong một gói assembly riêng. 45

[URL="/#_Toc137098689"]2.3. Các kỹ thuật với các hiểm hoạ điển hình. 46

[URL="/#_Toc137098690"]2.3.1. Kiểm tra giá trị đầu vào. 46

[URL="/#_Toc137098691"]2.3.2. Cross-Site Scripting. 51

[URL="/#_Toc137098692"]2.3.3. Xác thực. 55

[URL="/#_Toc137098693"]2.3.4. Chứng thực. 58

[URL="/#_Toc137098694"]Chương 4 – THIẾT KẾ DEMO 61

[URL="/#_Toc137098695"]1. Dự án Cục tài nguyên môi trường. 61

[URL="/#_Toc137098696"]1.1. Mô hình hoá chức năng. 61

[URL="/#_Toc137098697"]1.2. Phân rã chức năng ngoại tuyến cấp Cục. 61

[URL="/#_Toc137098698"]1.3.1 Hệ thống. 62

[URL="/#_Toc137098699"]1.3.2 Các cơ sở gây ô nhiễm 63

[URL="/#_Toc137098700"]1.3.3 Quản lý hồ sơ. 63

[URL="/#_Toc137098701"]1.3.4 Quản lý người dùng. 64

[URL="/#_Toc137098702"]1.3.5 Quản lý dữ liệu tĩnh cấp cục. 64

[URL="/#_Toc137098703"]1.3.6 Thống kê báo cáo. 65

[URL="/#_Toc137098704"]2. Thiết kế Web site an toàn. 65

[URL="/#_Toc137098705"]2.1 Vấn đề an toàn mà Web site đã làm được. 65

[URL="/#_Toc137098706"]2.2. Tăng cường an ninh. 65

[URL="/#_Toc137098707"]2.2.1. Đặt mã truy nhập tài nguyên trong một gói assembly riêng. 65

[URL="/#_Toc137098708"]2.2.2. Mã hoá xâu kết nối cơ sở dữ liệu. 6